美전문잡지에 실린 해킹 공개자료 분석 결과
(서울=연합뉴스) 이율립 기자 = KT와 LG유플러스 등 국내 이동통신사를 공격한 해커 조직이 북한 정찰총국 산하 '김수키'가 아니라 중국 조직일 가능성이 높다는 국내 연구진 분석이 나왔다.
고려대 정보보호대학원 해킹대응기술연구실과 디지털포렌식연구센터는 22일 오후 성북구 고려대 정운오IT교양관에서 이 같은 연구 결과를 발표했다.
연구는 최근 미국 보안 전문지 '프랙'(Phrack)에 실린 김수키 추정 해킹 관련 공개 자료를 분석해 이뤄졌다.
연구진은 "공개된 자료만으로는 북한에 의한 공격이라 단정 지을 수 없다는 결론"이라며 "해커 작업 패턴을 종합하면 중국어에 친숙하고 한국어는 익숙하지 않은 중국인일 가능성이 매우 높다"고 밝혔다.
이들은 그 근거로 소스 코드에 중국어로 작성된 주석이 포함된 점, 중국 해커그룹들이 그간 즐겨 쓰던 해킹 수법과 동일한 공격 도구를 사용한 점 등을 제시했다.
또 한국어 문장을 구글 번역 사이트를 통해 중국어 또는 영어로 번역한 점, 중국 청명절이나 노동절, 단오 등에는 해킹을 하지 않은 점, 여가 시간에 중국 동영상 사이트 에이시펀(AcFun)에 반복적으로 접근한 점 등에도 주목했다.
연구진은 "'프랙' 저자들의 추론처럼 중국과 긴밀하게 교류하는 김수키 그룹의 행위일 가능성도 배제할 수는 없으나, 북한의 소행이라고 단정 짓기에는 증거가 미비하다"고 강조했다.
앞서 '세이버'(Saber)와 '사이보그'(cyb0rg)라는 두 해커는 자신들이 김수키 해커가 사용한 것으로 추정되는 컴퓨터를 해킹한 결과 김수키가 한국 정부 및 통신사를 공격한 사실을 확인했다고 '프랙'에 실었다.
과학기술정보통신부는 지난 20일 국회에서 통신사들로부터 자료를 제출받아 이들이 제기한 의혹을 파악해보겠다고 밝힌 상태다.
고려대 연구진은 두 해커가 이달 초 미국에서 열린 해킹대회 '데프콘 2025'(DefCon 2025)에서 배포한 파일과 데이터를 심층 분석했다.
2yulrip@yna.co.kr
<연합뉴스>